伴侣移动应用公开的现代汽车潜在劫持
PC制造商将在Q4中运送Windows 10混合现实耳机
Mingis关于Tech:能量微普林,苹果和无人机有什么关系!
填充区块链鸿沟
英国的平均技术工资&我达到80,000英镑
欧盟备份的DataceRe Consortium寻求行业帮助欧洲广泛的可持续发展推动
逐步删除ESN以开始于2019年初
怀疑CIA间谍工具与16个国家的黑客相关联
荷兰银行看到员工绩效管理重新思考的财务提升
地理空间委员会将500万英镑泵入位置数据的解锁价值
Facebook可能面临高达1.6亿美元的数据泄露
松弛让你更容易说出午餐
惠普扩大其3D打印机业务以供大众制造
Oracle被指控在云收入增长的来源中“误导”投资者
公共云呼吁IT工程师 - 他们的钱包
谷歌如何认真对待亚马逊的回声节目
将其工人解雇以提出歧视诉讼
Superdrug否认数据泄露
软件维护合同缺乏审查
Google文档网络钓鱼攻击强调OAuth安全风险
DDN通过TINTI的VM感知存储使企业推送
Devops研究人员闪耀着推出的推动,即外包采用软件开发人员的生产力
创作者更新说明:训练营问题和个人体验
阿里巴巴执行主席杰克马在2019年下降
俄罗斯人在美国收到最长的监狱句子
微软的关键窗口和办公室补丁呈现出存在的问题
SOS:宇航员可以通过拉链线快速休闲
亚马逊回声看:人们真的想要亚马逊相机吗?
数字经济竞争小组会议讨论法规
是的,Windows补丁是一团糟,但你仍然应该安装它们
BA赞扬SWIFT GDPR对准的数据违规行动
微软本月两次重新发行KB 3150513 Snooping补丁
澳大利亚政府机构试验安全云服务
Mimecast扩展了核心电子邮件安全性以启用网络弹性
Windows 10使用英寸Up-gul-gut android扩大
Veritas旨在通过简化的UI和设置提升NetBackup
微软收购了促进其Kubernetes Chops
研究发现,英国人关注无与伦比的支付安全性
苹果建立糖尿病传感器42200万原因
网络安全漏洞涉及飙升
家庭办公室菜肴超过100万英镑的警察技术项目
CIO采访:Niall Quinn,Technology Director,Crown商业服务
秘密任务上的X-37B火箭是一个不太秘密的着陆
竞争对手取得效率提高,AI Parggards将失败
Leeds Beckett大学向Alexa寻求帮助切割清算管理员
东芝驱动器加入Marvell卡以提供本土NVME过度面料
Pladis旨在让S / 4 Hana更接近消费者
据报道,谷歌计划为Chrome浏览器提供广告阻止功能
Microsoft为业务用户推出Windows 10 Beta程序
工业背部挪威的AI Powerhouse项目
您的位置:首页 >电子新闻 >

伴侣移动应用公开的现代汽车潜在劫持

2021-08-14 08:43:59 [来源]:

伴随许多现代汽车的移动应用程序暴露了可能让攻击者远程定位,解锁和启动车辆的敏感信息。

该漏洞在3月发布的最新版本的移动应用程序中被修补,但周二公开披露。它是过去几年中发现的一串缺陷的最新瑕疵,在车辆制造商到他们的汽车中添加的“智能”功能。

现代问题是由独立研究人员发现威廉·哈特刀和Arjun Kumar在分析Myhyundai的蓝色链接移动应用程序时。

Blue Link是一种基于订阅的技术,即2012年后发布的许多现代汽车模型。它允许汽车所有者在盗窃中远程定位他们的车辆,如果丢失或错位他们的钥匙,甚至在停放和锁定时甚至远程启动或停止其发动机。

研究人员发现,从12月初发布的移动应用程序版本3.9.4开始,Hyundai增加了一个要将日志文件上传到远程服务器的功能。与服务器的连接没有使用HTTPS加密,但Hyundai试图通过使用所有用户共享的静态密钥加密来保护日志数据。

问题是,此键在应用程序内部硬编码,所以任何人都可以下载应用程序,找到密钥,然后提取它。这允许攻击者处于职位拦截从移动电话拦截流量的攻击者,该应用程序安装以拦截和解密日志数据。

应用程序日志包含像汽车所有者的用户名,密码和引脚等敏感信息,以及可以透露汽车的位置历史的GPS数据。

如果攻击者在ISP级别获得可见性,则可以在不安全的无线网络中执行中间攻击,通过受损路由器,甚至在网络链中更高。

Hatzer和Kumar与安全公司Rapid7合作,协调与Hyundai,美国国土安全部的工业管制系统网络应急响应团队(ICS-Cert)的脆弱性披露,以及卡内基梅隆大学的Cert协调中心。

ICS-Cert周二发布了该问题的咨询,评定了未能对MITM攻击的通信作为中等严重性以及使用硬编码的加密密钥作为高严重性的使用。

现代汽车美国为Android和iOS的蓝色链接移动应用程序的3.9.6版本固定了缺陷。该公司告诉RAING7在调查后,它不了解受此问题影响的任何客户。

现代是汽车信息共享和分析中心(Auto-ISAC)的成员,该公司是一个行业组,用于分享有关网络安全威胁和最佳实践的信息。

在过去几年中,汽车网络安全有一些进展,其中一些制造商推出了Bug Bounty计划,并表现出与安全研究人员合作的愿意。然而,这需要一些时间,直到这些努力开始对汽车有关软件的质量产生重大影响。

在某种程度上,这是可以理解的,因为汽车公司对软件开发相对较新。大型软件供应商像Microsoft,Adobe和Oracle仍然在每个月的产品中发现和修复其产品中的数十个安全漏洞,因此汽车软件或随附的移动应用程序也没有令人惊讶的是漏洞。

然而,有一些紧迫性,因为与计算机相比,汽车对人类安全的威胁更大。遗憾的是,在汽车软件中发现的缺陷通常是基本的安全监督,通过众所周知的安全开发原则可以很容易地避免。

在另一个最近的事件中,来自以色列公司的研究人员在蓝牙范围内能够关闭移动车的发动机,因为来自博斯克的汽车监测设备的漏洞,称为Drivelog连接器。这次加密狗连接到汽车的车载诊断(OBD-II)端口,并在汽车需求服务时监控其“健康”以提醒驱动程序。它附带了一个随附的移动应用程序。

Argus研究人员在App和Dongle之间的基于蓝牙身份验证系统中发现了一个问题,允许它们在尝试连接到加密狗后使用Brute-Force方法猜测授权引脚。使用PIN,研究人员发现一种方法可以通过加密狗远程发送恶意命令,以通过加密到控制器的电子控制单元(ECU)进行通信的控制器区域网络(CAN总线)。

CAN总线不会具有任何加密或认证,因为ECU需要彼此通信并尽可能快地对传感器读数进行反应,以便执行关键功能。因此,获得对CAN总线的不受限制的访问是任何汽车黑客的圣杯。

不幸的是,之前的汽车黑客已经表明,汽车制造商Don“T从外围和远程可访问的系统正常隔离罐总线。2015年,研究人员Charlie Miller和Chris Valasek在移动数据连接中找到了一种方法来破解Jeep Cherkee和其他牧师克莱斯勒车辆的信息娱乐系统,然后跳到CAN总线接管制动,转向和其他批判性系统。

通过添加互联网连接和远程访问功能使汽车“更智能”肯定可以提高汽车所有者的体验,但它也会增加汽车“攻击表面。如果汽车制造商继续严重采取网络安全,则可能会在时间上运行许多这些功能,但现在,如果一辆汽车有遥控功能,那么如果汽车有遥控功能,那么在某处有一个可利用的错误执行。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。